美國聯邦通訊委員會新通過的隱私規範

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　歐盟於2018年11月間通過Regulation (EU) 2018/1807，即促進非屬個人資料（下簡稱個資）之資料流通規則（下簡稱規則），藉以促進歐洲單一數位市場之規模經濟，並於2019年05月28日開始適用，據此，歐盟執委會亦因應該規則而頒布指引（COM(2019) 250 final），以釐清規則與GDPR之互動關係。 　　該規則開宗明義表示其制定係為了促進非屬個資之資料（下稱資料）流通，即其適用範圍包含（1）提供予歐盟境內之用戶使用，或（2）在歐盟境內之人依其需要所衍生者等資料，但排除GDPR第4條所定義之個資，故不排除GDPR之適用可能，申言之，若資料集中同時含有資料與個資，則流通則應分別適用本規則及指引（資料部份）與GDPR（個資部份）。 　　此外，為有效達成資料流通，各個歐盟成員國原則上禁止作出資料在地化要求（Data Localisation Requirements），例外僅於公共安全之前提下，且有充分的理由，方得做出合比例性之要求，並於單一資訊網站上即時更新資料在地化要求之清單，不過至遲在2021年05月30日前，成員國須確認其境內之相關規範已無前開例外之資料在地化要求。 　　又，為使歐盟各成員國就資料流通之無礙溝通，各成員國應設單一聯繫窗口，而在（1）歐盟相關規定或（2）國與國間不具特定合作機制，致成員國無法取得資料之近用權限時，該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求，並附上請求之原因說明與近用資料之法律依據。 　　綜上，本規則及其指引與GDPR及其相關規定，對於資料與個資等流通分別建構出穩固的法律系統與環境。

　　Atmel 於2006年3月美國南加州地方法院對世界首屈一指的指紋辨識功能機器的供應商AuthenTec提出告訴，宣稱AuthenTec侵害Atmel兩項專利，今年五月五日法院的即決判決中確定AuthenTec的產品並未侵害Atmel的專利。 　　AuthenTec 副總裁兼法律顧問 Frederick Jorgensen表示：「從一開始被起訴，對於Atmel的指控，我們十分有信心公司的產品沒有侵權，也十分樂見此次法院的判決。我們相信我們的科技及智慧財產在市場居有領先的地位，為了保護這些資產，我們將會進行保護的措施。」 　　AuthenTec藉著指紋辨識器增加了很多資產，目前有超過三億個指紋辨識器運用在電腦、手機、ＰＤＡ及門禁系統上。所有的指紋辨識器都是依據TruePrint的技術精確判斷指紋影像，TruePrint不僅僅可以辨識人類皮膚表層，還可以辨識皮膚表層以下，此項獨一無二的技術不論在任何時間或任何指紋下，都可準確的辨識任何人。目前AuthenTec的客戶包含宏碁、華碩、惠普、三星、LG等等。 　　除此案之外，AuthenTec尚有許多懸而未決的案子，在三月時，AuthenTec針對Atrua網站上所秀出的智慧型觸控面板手機，提出侵害AuthenTec指紋辨識技術的訴訟。

既有建築改善翻新措施─德國政策參考 科技法律研究所 2013年07月11日 壹、事件摘要 　　內政部於6月20日公布資訊指出，我國為達成環境永續發展之目標，於1999年開始推行綠建築標章評估系統，迄今已有3,943件新建或既有建築，取得綠建築標章或候選綠建築證書，每年皆可有效節水與節電；同時，自2003年起，針對既有中央辦公廳舍及國立大專院校所辦理的改善翻新，亦具有顯著的節能減碳成果。 貳、重點說明 　　為因應全球暖化與氣候變遷問題，我國針對建築部門推動許多兼顧節能減碳與生態保護的綠建築政策。首先，內政部在1999年針對新建建築之規劃設計，訂定綠建築標章評估系統。行政院另於2001年3月核定「綠建築推動方案」，率先實施對公部門新建及既有建築之綠化工作，內政部並依據該方案實施方針第7條，推動「綠廳舍暨學校改善補助計畫」。接著，為了強化民間產業投入綠建築，行政院再於2008年1月核定「生態城市綠建築推動方案」，依據該方案實施方針第11條「辦理綠建築更新診斷與改造計畫」，繼續推動既有中央辦公廳舍及國立大專院校建築物之改善翻新。此外，為鼓勵民間既有建築參與綠建築改善，並於100年1月訂定內政部獎勵民間綠建築示範作業要點。 　　由上述政策發展可以看出，我國既有建築之改善翻新，乃循公部門先帶頭示範，再輔以對民間建築給予獎勵補助，與歐美等先進國家政策推動模式一致。 參、事件評析 　　根據統計，我國既有建築約佔全國建築總量97%，這些早期建造的建築物，於設計規劃之初皆未納入綠建築之概念。因此，雖然許多既有建築仍舊堪用，但建築本身卻普遍存在著高耗能問題。這使得推動既有建築進行改善翻新，提升其能源效率，成為一重要議題。而依內政部公布之資訊，公部門既有建築改善翻新獲得卓越之成效，確實令人欣喜。然而，公部門既有建築畢竟仍屬少數，故如何推動民間既有建築進行改善翻新，會是我國落實綠建築政策的關鍵。在此，本文將介紹德國政府之相關政策，希望能供我國作參考。 　　在既有建築改善翻新政策中，德國政府同樣先要求公部門建築必須進行改善翻新，以逐年降低其能源消耗量。與此同時，德國政府也認知到有超過75%的既有建築，至今仍未進行改善翻新。因此德國交通、建築暨都市發展部（Bundesministerium für Verkehr, Bau und Stadtentwicklung, BMVBS，簡稱交通部）推出了降低二氧化碳排放的建築改善翻新方案，不僅給予補助，更與德國復興信貸銀行（Kreditanstalt für Wiederaufbau, KfW）合作，提供改善翻新的低利率貸款。 　　今年6月1日，為了促進民眾積極採取「具體的」改善翻新行動，交通部與德國聯邦經濟暨技術部（Bundesministerium für Wirtschaft und Technologie, BMWi，簡稱經濟部）共同推出建築節能改善翻新的線上評估服務。讓民眾即使在家中，也可以進行節能與節省成本的行動。 該線上評估服務分為三大步驟，首先，必須輸入建築物的狀態。接著，便可以選擇欲改善翻新的項目及措施。最後，系統會產生整體改善翻新的結果，包括改善翻新前後的能源需求狀態、二氧化碳排放量，以及改善翻新所需經費，並提供聯邦、邦政府財政補助及KfW貸款方案的連結。 　　德國政府希望藉此向民眾傳達改善翻新的好處，在於節能、節省長期的能源成本，並增加建築物之價值。儘管德國政府在此線上評估服務網站上表明，評估結果僅供參考，並無法取代專業能源顧問的具體評估建議。然而，事先透過簡單、便利的線上評估，不僅增加民眾對於既有建築改善翻新的瞭解及興趣，更是進一步驅動民眾尋求專業評估的動力。 　　由此可知，節能減碳若要具體落實，全面性的規劃絕對是必要的。我國若能以德國的政策為借鏡，給予民眾更多關於既有建築改善翻新的協助，提供更多資訊。相信可以鼓勵更多民眾自主投入既有建築節能之行列，使我國綠建築政策獲得全面性的落實。